APDP en Chile: qué pasa si la agencia no está lista en diciembre 2026
El hito previsto para nombrar el Consejo Directivo de la Agencia de Protección de Datos Personales pasó sin resolución. Analizamos el riesgo institucional real y qué debe hacer una empresa para no quedar expuesta aunque el regulador llegue tarde.
Cognitiva, agencia chilena de IA, monitorea de cerca el avance institucional de la Ley 21.719 porque afecta directamente a cualquier empresa que procese datos personales en Chile. La Agencia de Protección de Datos Personales (APDP) debía tener su Consejo Directivo operativo hacia junio de 2026 —el hito que el cronograma de instalación situaba unos seis meses antes de la entrada en vigor de la ley—. No ocurrió: el Senado rechazó la terna por no alcanzar el quórum de dos tercios y el gobierno reconoció dificultades para encontrar nuevos candidatos. El resultado es un vacío institucional en el período crítico de preparación regulatoria. Esto no suspende la ley —entra en vigor el 1 de diciembre de 2026 de todas formas— pero sí crea una zona gris operativa para las empresas: sin instrucciones emitidas, sin criterios de fiscalización publicados y con la posibilidad de que la autoridad ejerza sus facultades de forma retroactiva sobre conductas anteriores a su plena instalación. Este artículo analiza ese escenario y qué acciones concretas debe ejecutar una empresa chilena para no quedar expuesta.
El vacío institucional: qué pasó exactamente
La Ley 21.719, publicada en diciembre de 2024, fijó un cronograma de instalación para la APDP. La Comisión Asesora que preparó su implementación recomendó constituir el Consejo Directivo hacia junio de 2026 —unos seis meses antes de la vigencia plena— para alcanzar a dictar la normativa secundaria a tiempo. Ese hito pasó sin Consejo constituido; el plazo legal de designación de los consejeros corre durante el segundo semestre de 2026.
En mayo de 2026, el Senado votó la terna propuesta por el Presidente de la República —Joselyn Biermann, Roberto Godoy y Matías Larraguibel— y la rechazó con 19 votos a favor y 12 en contra, sin alcanzar los dos tercios requeridos. Antes de esa votación, las comisiones unidas de Constitución y Economía habían registrado un doble empate de cinco votos sobre si los candidatos cumplían los requisitos legales.
El ministro de la Segpres reconoció públicamente la dificultad estructural: la ley exige dedicación exclusiva e inhabilidades específicas para los consejeros, y las remuneraciones fijadas resultan poco competitivas respecto del mercado privado de datos. Eso reduce el universo de candidatos disponibles.
Cuando el artículo de Diario Financiero consultó a tres abogados especializados —Antonia Nudman (Albagli Zaliasnik), Oliver Ortiz (Deloitte Legal) y Juan Pablo González (HD Group)— todos coincidieron en que la brecha institucional es relevante y que la solución jurídicamente más robusta sería una ley corta que regularice un nuevo procedimiento de designación con plazos definidos. Esa ley corta no existe a la fecha de publicación de este artículo.
Qué puede y no puede hacer la APDP sin Consejo constituido
La ausencia del Consejo Directivo no suspende la ley, pero sí limita las facultades operativas de la agencia durante el período de transición. Es clave entender qué está en juego.
Facultades suspendidas sin Consejo
- Aplicar multas: el régimen sancionatorio —hasta 20.000 UTM por infracciones gravísimas— requiere un Consejo Directivo constituido que sustancie los procedimientos.
- Emitir instrucciones generales obligatorias: las normas de carácter reglamentario que la APDP debe publicar para operacionalizar la ley (p. ej. estándares de seguridad, formatos de ejercicio de derechos) no pueden ser emitidas sin el órgano directivo.
- Resolver reclamos de titulares: el procedimiento administrativo de reclamo ante la agencia exige un órgano instructor con competencia legal formal.
Lo que no se suspende
- La vigencia de la ley: el 1 de diciembre de 2026 las obligaciones de fondo entran en vigor para todas las empresas, sin importar si la APDP está plenamente operativa.
- Las acciones civiles: los titulares de datos pueden interponer acciones judiciales directamente, sin pasar por la agencia.
- El registro de infracciones: la ley no establece que las conductas anteriores a la plena instalación de la agencia queden exentas. Una vez que el Consejo esté constituido, puede ejercer sus facultades sobre tratamientos que comenzaron antes.
Este último punto es el núcleo del riesgo institucional: que la agencia llegue tarde pero con alcance retroactivo sobre el período de vacío. Las empresas que posterguen su preparación argumentando que 'el regulador no está operativo' podrían ser las primeras en recibir sanciones una vez que la APDP funcione.
El déficit presupuestario: otra brecha que importa
El problema no es solo el Consejo Directivo. La Comisión Asesora Ministerial para la implementación de la ley, presidida por Romina Garrido, advirtió en agosto de 2025 que el presupuesto asignado a la APDP presenta falencias estructurales.
La agencia contaba en ese momento con una asignación de 1.721 millones de pesos y una proyección de solo 19 funcionarios al momento del lanzamiento. La comisión recomendó elevar el presupuesto a aproximadamente 4.000 millones de pesos e incorporar al menos 50 funcionarios más tres consejeros. Sin esa escala mínima, la capacidad de fiscalización efectiva —inspecciones, resolución de reclamos, certificación de sistemas— sería limitada.
Garrido señaló que la agencia debía instalarse en junio de 2026 para contar con tiempo suficiente para desarrollar la normativa secundaria antes de diciembre. Ese plazo no se cumplió en ninguno de sus componentes.
Para las empresas, este déficit tiene una lectura dual. A corto plazo, reduce la probabilidad de fiscalización proactiva inmediata. A mediano plazo, presiona a la agencia a priorizar casos de alto impacto cuando finalmente opere —precisamente los más visibles y mejor documentados—, lo que penaliza más a quienes no tengan registros de cumplimiento ordenados.
Riesgo institucional vs. riesgo de compliance: la diferencia crítica
Una empresa podría concluir erróneamente que el vacío institucional reduce su urgencia de cumplir. El razonamiento sería: si no hay agencia, no hay multas; si no hay multas, no hay urgencia. Ese razonamiento tiene al menos tres fallas.
Falla 1: la ley no es la agencia
Las obligaciones de la Ley 21.719 son exigibles desde el 1 de diciembre de 2026, independientemente de si la APDP tiene capacidad de fiscalizar en ese momento. Un titular de datos puede exigir el ejercicio de sus derechos (acceso, rectificación, supresión, portabilidad) ante la empresa directamente. Si esta no responde dentro de los plazos legales, incurre en infracción incluso si la agencia no la detecta ese día.
Falla 2: el riesgo reputacional no espera al regulador
Una filtración de datos, una negativa a eliminar información sensible o un uso no consentido de datos para perfilamiento publicitario son eventos que dañan la reputación frente a clientes y socios comerciales antes de que ningún regulador actúe. El GDPR europeo ha enseñado que la exposición mediática de una mala práctica de datos puede ser más costosa que la multa.
Falla 3: los contratos ya cambiaron
Los contratos con proveedores tecnológicos que manejan datos personales —plataformas SaaS, nubes, agentes de IA— deben incluir cláusulas de subencargado desde diciembre de 2026. Si no están redactados hoy, las renovaciones o nuevas contrataciones quedarán en incumplimiento desde el primer día. Esto es un riesgo contractual, no regulatorio.
Compliance preventivo: qué hacer aunque el regulador no esté
El escenario de vacío institucional no justifica inacción; justifica una estrategia diferente: priorizar los controles que reducen exposición civil y reputacional, y dejar registro de las acciones ejecutadas para acreditarlas ante la agencia cuando llegue.
El marco de cinco prioridades de Cognitiva para este escenario
En Cognitiva hemos estructurado un framework de compliance preventivo para el escenario de vacío de enforcement, ordenado por impacto y reversibilidad:
- Inventario de tratamientos: identificar qué datos procesas, para qué, con qué base legal y quién los recibe. Sin este mapa, ningún otro control es posible. Es la base del Registro de Actividades de Tratamiento que exigirá la APDP.
- Canal de ejercicio de derechos: habilitar un mecanismo formal (formulario, correo designado) para que los titulares ejerzan sus derechos de acceso, rectificación y supresión. Los plazos de respuesta de la ley corren desde el 1 de diciembre de 2026.
- Cláusulas de subencargado en contratos: revisar y actualizar contratos con proveedores tecnológicos para incluir las obligaciones del artículo 14 de la Ley 21.719 sobre subencargados del tratamiento.
- Política interna de protección de datos: documento interno que fije responsabilidades, procedimientos de brecha de seguridad y criterios de retención. Este documento es lo primero que pedirá la APDP en una fiscalización.
- Registro de decisiones: documentar cada decisión de compliance tomada durante el período de vacío. Si la agencia llega con preguntas sobre conductas pasadas, el registro es la única defensa disponible.
Estos cinco pasos no requieren esperar las instrucciones de la APDP —son buenas prácticas derivadas directamente del texto legal— y pueden ejecutarse en paralelo mientras se resuelve el proceso de nombramiento del Consejo.
El escenario de 'ley corta': qué significaría para las empresas
Los abogados consultados por Diario Financiero coinciden en que la solución más robusta sería una ley corta que regularice el procedimiento de designación del Consejo con nuevos plazos. ¿Qué implicaría eso para las empresas?
Una ley corta tarda en promulgarse. Aunque el gobierno la ingrese de urgencia, el proceso legislativo toma semanas. Si la ley corta se aprueba en julio o agosto de 2026, el Consejo podría constituirse en septiembre u octubre, lo que dejaría apenas dos o tres meses antes del 1 de diciembre para que la agencia emita las instrucciones mínimas necesarias.
Ese escenario comprimido tiene dos consecuencias prácticas. Primero, las instrucciones generales —los criterios que la APDP publicará para interpretar la ley— llegarán muy cerca de la fecha de vigencia o incluso después de ella. Las empresas deberán implementar controles sobre la base del texto legal puro, sin guías administrativas de apoyo. Segundo, la agencia priorizará los casos más visibles y críticos en sus primeras fiscalizaciones: empresas grandes, sectores con datos sensibles (salud, finanzas, RR.HH.) y situaciones de brecha ya denunciadas.
Para las pymes, esto tiene una lectura positiva: el primer año de enforcement efectivo estará concentrado en actores grandes. Pero la marcha blanca sancionatoria para empresas de menor tamaño contemplada en la ley —que reemplaza la primera multa por una amonestación escrita— aplica solo si la empresa puede acreditar que inició acciones de adecuación. Sin registro de esas acciones, la marcha blanca no opera.
Disclaimer legal
Este artículo no constituye asesoría legal. El análisis presenta información de carácter general sobre el marco regulatorio de la Ley 21.719 y el estado institucional de la APDP a la fecha de publicación. Para evaluar obligaciones específicas de tu empresa, consulta con un abogado especializado en protección de datos.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.